Присоединяйтесь!
Зарегистрированных пользователей портала: 505 924. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ИНФОРМАЦИИ. РС БР ИББС-2.9-2016" (утв. Приказом ЦБ РФ 11.04.2016 N ОД-1205)

Дата документа11.04.2016
Статус документаДействует
МеткиПриказ · Рекомендации · Состав · Рс бр

    

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

 

РС БР ИББС-2.9-2016

 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ПРЕДОТВРАЩЕНИЕ УТЕЧЕК ИНФОРМАЦИИ

 

Дата введения: 2016-05-01

 

Предисловие

 
    1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Приказом Банка России от 11 апреля 2016 года N ОД-1205.
    2. ВВЕДЕНЫ ВПЕРВЫЕ.
    Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
 

Введение

 
    В соответствии с действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) организациям банковской системы Российской Федерации (далее - БС РФ) следует принимать меры по обеспечению конфиденциальности обрабатываемой информации.
    Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и (или) ее клиентам в части возможного нарушения конфиденциальности обрабатываемой информации обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации, - возможные внутренние нарушители информационной безопасности. При этом утечка информации является одной из актуальных угроз нарушения информационной безопасности (далее - ИБ), которую могут реализовать возможные внутренние нарушители ИБ.
    Одним из направлений деятельности организации БС РФ по обеспечению конфиденциальности обрабатываемой информации являются мониторинг и контроль информационных потоков, осуществляемые для предотвращения утечек информации. Настоящий документ устанавливает рекомендации, реализация которых направлена на обеспечение организацией БС РФ мониторинга и контроля информационных потоков, осуществляемых для выявления и предотвращения утечек информации в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации, - возможных внутренних нарушителей ИБ.
 

1. Область применения

 
    Настоящие рекомендации распространяются на организации БС РФ, по результатам оценки рисков принявшие решения проводить деятельность по предотвращению утечек информации конфиденциального характера, не содержащей сведения, составляющие государственную тайну, в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации или легальным физическим доступом в помещения, в которых осуществляется обработка информации, - возможных внутренних нарушителей ИБ.
    В настоящем документе содержатся рекомендации, выполнение которых обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков. В настоящем документе не рассматриваются рекомендации, выполнение которых косвенно влияет на снижение рисков утечки информации (например, рекомендации к обеспечению защиты от воздействия вредоносного кода, межсетевому экранированию и разделению вычислительных сетей, к проведению аудитов ИБ, к организации логического доступа).
    Настоящие рекомендации не распространяются на организации БС РФ, решением которых обработка информации осуществляется с использованием облачных технологий или передана на аутсорсинг сторонней организации.
    Настоящие рекомендации не включают положения, направленные на предотвращение утечек информации по техническим каналам, в том числе каналам побочных электромагнитных излучений и наводок, а также в результате действия работников организации БС РФ и иных лиц, не обладающих легальным доступом к информации или легальным физическим доступом в помещения, в которых осуществляется обработка информации, - внешних нарушителей ИБ.
    Настоящий документ рекомендован для применения путем прямого использования устанавливаемых в нем положений при проведении деятельности по предотвращению утечек информации, а также путем включения ссылок на него и (или) прямого включения содержащихся в нем положений во внутренние документы организации БС РФ.
    Положения настоящих рекомендаций применяются на добровольной основе. В конкретной организации БС РФ для проведения деятельности по предотвращению утечек информации могут использоваться иные рекомендации и (или) требования, отражающие специфику и сложившуюся практику организации БС РФ.
 

2. Нормативные ссылки

 
    В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на следующие документы:
    СТО БР ИББС-1.0.
    РС БР ИББС-2.5 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (далее - РС БР ИББС-2.5).
    РС БР ИББС-2.7 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности" (далее - РС БР ИББС-2.7).
 

3. Термины и определения

 
    В настоящих рекомендациях применяются термины в соответствии с СТО БР ИББС-1.0, РС БР ИББС-2.5, РС БР ИББС-2.7, а также следующие термины с соответствующими определениями:
    3.1. Обработка информации - любое действие (операция) или совокупность действий (операций), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение информации.
    3.2. Утечка информации - несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое организацией БС РФ.
    Примечание.
    В настоящем документе рассматриваются только случаи утечки информации, реализуемые в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации или легальным доступом в помещения, в которых осуществляется обработка информации.
 
    3.3. Доступ к информации - возможность получения информации и ее использования.
    3.4. Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.
    3.5. Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
    3.6. Защита информации от утечки - деятельность, направленная на предотвращение неконтролируемого предоставления или распространения информации конфиденциального характера.
    3.7. Информация конфиденциального характера - информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и внутренними документами организации БС РФ обеспечивается сохранение свойства конфиденциальности.
    3.8. Возможный внутренний нарушитель ИБ - работник организации БС РФ и (или) иное физическое лицо, обладающие легальным доступом к информации конфиденциального характера или легальным физическим доступом в помещения, в которых осуществляется обработка информации конфиденциального характера.
    3.9. Владелец информационного актива - подразделение организации БС РФ и (или) работник организации БС РФ, являющееся инициатором создания информационного актива, определяющее цели сбора и обработки информации, состав обрабатываемой информации, а также осуществляющее распоряжение доступом к информационному активу в пределах своих полномочий.
 

4. Обозначения и сокращения

 
    АБС - автоматизированная банковская система;
    БС - банковская система;
    ИБ - информационная безопасность;
    РФ - Российская Федерация;
    СОИБ - система обеспечения информационной безопасности;
    СМИБ - система менеджмента информационной безопасности.
 

5. Общие положения

 
    5.1. Для защиты информации конфиденциального характера от возможных утечек организации БС РФ рекомендуется обеспечивать:
    - идентификацию и формирование перечня категорий информации конфиденциального характера, рекомендации к реализации которых установлены в разделе 6 настоящих рекомендаций;
    - идентификацию и учет информационных активов (информационных ресурсов), содержащих информацию конфиденциального характера и объектов среды информационных активов, используемых для обработки и (или) хранения информации конфиденциального характера, рекомендации к реализации которых установлены в разделе 7 настоящих рекомендаций;
    - определение категорий возможных внутренних нарушителей и актуальных угроз, связанных с их действиями, - потенциальных каналов утечки информации конфиденциального характера, рекомендации к выполнению которых установлены в разделе 8 настоящих рекомендаций;
    - выполнение процессов системы обеспечения ИБ (далее - СОИБ), которые обеспечивают непосредственный мониторинг и контроль информационных потоков - потенциальных каналов утечки информации конфиденциального характера (далее - процессы непосредственного мониторинга и контроля информационных потоков), рекомендации к составу которых установлены в разделе 9 настоящих рекомендаций.
    5.2. Организации БС РФ рекомендуется реализовать процессы системы менеджмента ИБ (далее - СМИБ), полнота и качество выполнения которых обеспечивают должный уровень зрелости выполнения процессов непосредственного мониторинга и контроля информационных потоков. Реализацию указанных процессов СМИБ рекомендуется осуществлять с учетом положений РС БР ИББС-2.7 и рекомендаций, установленных в разделе 10 настоящих рекомендаций.
 

6. Рекомендации к реализации идентификации и формирования перечня категорий информации конфиденциального характера

 
    6.1. Организации БС РФ рекомендуется установить и документировать классификацию обрабатываемой информации. Рекомендуется выделение как минимум двух классов информации, например классов "информация конфиденциального характера" и "открытая информация". Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации БС РФ от возможных утечек информации конфиденциального характера.
    6.2. Организации БС РФ рекомендуется обеспечить документирование и выполнение правил установления перечня категорий информации, включаемых в каждый из классов информации конфиденциального характера.